Para este momento específico em que você fez a consulta de DNS, sim, 216.58.207.206é o endereço IP onde seu broser irá se conectar quando você for para google.com. Não importa se é um balanceador de carga ou um servidor web real, ainda é o endereço que você precisa permitir.

No entanto, em geral, permitir apenas endereços IP específicos não funciona com a Internet geral.

• Os sites geralmente usam servidores CDN para ativos estáticos. Os endereços IP dos servidores CDN mudarão com o tempo
• Os sites da Web usam vários servidores discretos para servir os recursos da página da Web. Por exemplo, conectar-se a cnn.comfaz com que o servidor da Web busque recursos de mais de 30 domínios.
• Alguns sites são implantados em ambientes em que seu endereço IP muda em cada implantação

Para fazer uma lista de permissões funcional no firewall, você precisaria escrever um software que monitorasse constantemente todos os recursos necessários para os sites permitidos. O software então adicionaria a atualização dos endereços IP na configuração do firewall.

Na prática, não é possível permitir sites modernos por endereços IP.

Sites pequenos usam um único servidor ou vários com um balanceador de carga na frente deles, mas os grandes (como Google, Microsoft ou Facebook) usarão uma mistura de várias técnicas para aumentar a disponibilidade e atender sua solicitação da localização geográfica mais próxima.

O que isso significa na prática é que, quando você consulta o DNS desses sites, pode obter todos os tipos de endereços IP diferentes para se conectar.

Você precisa de um firewall que possa filtrar com base na URL solicitada e implementar políticas como "permitir acesso a google.com"; se você estiver limitado a filtrar endereços IP, simplesmente não conseguirá acompanhar os grandes sites/serviços modernos.